Verpflichtung auf das Datengeheimnis

Werbung
Informationen zum Datenschutz I Dezember 2015
Verpflichtung auf das Datengeheimnis
Für Mitarbeiter eines Unternehmens sollte es selbstverständlich sein, dass sie die Daten, mit denen sie im Rahmen ihrer
Tätigkeit in Berührung kommen, vertraulich behandeln und
die Verarbeitung der Daten nur unter Beachtung der gesetzlichen Vorgaben erfolgt. Diese Selbstverständlichkeit ist
zusätzlich im Bundesdatenschutzgesetz (BDSG) geregelt.
Unter der Überschrift „Datengeheimnis“ ist in § 5 BDSG
bestimmt, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten
unbefugt zu erheben, zu verarbeiten oder zu nutzen. Für Personen, die bei nicht-öffentlichen Stellen beschäftigt sind, ist
ausdrücklich vorgegeben, dass bei der Aufnahme ihrer Tätigkeit eine Verpflichtung zu erfolgen hat.
Wer muss auf das Datengeheimnis verpflichtet
werden?
Nach der gesetzlichen Bestimmung sind alle Mitarbeiter auf
das Datengeheimnis zu verpflichten, die bei der Datenverarbeitung beschäftigt sind. Damit sind nicht nur solche Mitarbeiter erfasst, deren Hauptaufgabe in der Datenverarbeitung
liegt. Gemeint sind sämtliche Mitarbeiter, die im Rahmen ihrer
Tätigkeit in Kontakt mit personenbezogenen Daten kommen.
Teilweise wird auch die bereits faktische Möglichkeit zur
Kenntnisnahme solcher Daten als ausreichend angesehen
(Ehmann in Simitis, BDSG, 8. Aufl. 2015, § 5 Rn. 13). Grundsätzlich ist der Anwendungsbereich der Norm weit auszulegen. Erfasst werden in jedem Fall alle Mitarbeiter in den
Bereichen Verwaltung, Personal, Verkauf, Marketing, Buchhaltung und Controlling.
Ausgenommen sind lediglich solche Mitarbeiter, die
keinerlei Berührung mit personenbezogenen Daten haben,
da diese nicht „bei der Datenverarbeitung beschäftigt“ sind.
Denkbar ist dies vor allem noch in Produktionsbereichen.
Der konkrete Status der Mitarbeiter ist ohne Relevanz.
Eine Verpflichtung muss daher nicht nur bei fest angestellten
Mitarbeitern erfolgen, sondern auch bei Aushilfen, freien Mitarbeitern und Praktikanten. Leiharbeitnehmer sind vom Ver-
www.brandi.net
leiher zu verpflichten, wobei oftmals auch der Entleiher zur
eigenen Absicherung eine Verpflichtung vornimmt.
Warum reichen die Regelungen im Arbeitsvertrag
nicht aus?
Die Verpflichtung auf das Datengeheimnis muss auch dann
erfolgen, wenn die Mitarbeiter ohnehin eine Klausel in ihrem
Arbeitsvertrag haben, wonach alle Informationen vertraulich
zu behandeln sind und nicht weitergegeben werden dürfen.
Diese Regelung erfolgt typischerweise im Interesse des
Arbeitgebers zum Schutz seiner vertraulichen Informationen.
Die Verpflichtung auf das Datengeheimnis dient dagegen
auch dem Schutz der Betroffenen, so dass wegen der unterschiedlichen Schutzrichtung eine zusätzliche Belehrung und
Verpflichtung erforderlich ist.
Theoretisch ist es zwar denkbar, die Verpflichtungserklärung in den Arbeitsvertrag zu integrieren, gleichwohl empfiehlt sich aber eine separate Erklärung. Systematisch muss
die Verpflichtung auf das Datengeheimnis mit dem Mitarbeiter nicht vereinbart, sondern nur zur Kenntnis gebracht werden. Es erfolgt letztlich nur ein Hinweis auf die gesetzlichen
Pflichten.
Wie muss die Verpflichtung erfolgen?
Das Gesetz enthält keine Vorgaben, wie die Verpflichtung
ausgestaltet sein muss. Es ist insbesondere keine besondere
Form vorgeschrieben. Aus dem Wort „verpflichten“ wird aber
abgeleitet, dass eine allgemeine Information in Form eines
Aushangs oder Rundschreibens nicht ausreichend ist (Gola/
Schomerus, BDSG, 12. Aufl. 2015, § 5 Rn. 11). Erforderlich
ist nach herrschender Meinung eine persönliche Ansprache
der Mitarbeiter im Einzelfall.
Denkbar wäre wohl eine mündliche Belehrung, wobei
dann die praktische Umsetzung schwierig ist. Die erfolgte
Verpflichtung ist nach allgemeiner Auffassung aktenkundig
Informationen zum Datenschutz I Dezember 2015
zu machen, typischerweise durch Aufnahme in die Personalakte. Häufig ist es auch üblich, dem Datenschutzbeauftragten
ebenfalls eine Kopie der Verpflichtungserklärung zukommen
zu lassen. Schon aus Gründen der Dokumentation und der
Beweisführung bietet es sich an, ein Merkblatt zu erstellen,
dieses jedem neuen Mitarbeiter auszuhändigen und sich den
Empfang quittieren zu lassen.
Sofern in der Vergangenheit die Mitarbeiter noch nicht auf
das Datengeheimnis verpflichtet wurden, ist es dringend zu
empfehlen, dies für alle aktuellen Mitarbeiter nachzuholen.
Welchen Inhalt hat die Verpflichtung?
Die Verpflichtung muss inhaltlich so gestaltet sein, dass dem
Mitarbeiter vor allem die Bedeutung des Verbotes der Datenverarbeitung ohne rechtliche Grundlage erläutert wird. Hierzu
reicht es nicht aus, wenn dem Mitarbeiter nur die Gesetzestexte zur Verfügung gestellt werden. Umgekehrt muss zwingend ein Bezug auf die gesetzlichen Regelungen hergestellt
werden, da über diese Anforderungen belehrt werden soll. In
der Praxis hat es sich daher bewährt, dem Merkblatt eine
Kopie der wesentlichen gesetzlichen Bestimmungen beizufügen.
Gleichzeitig kann das Merkblatt dazu genutzt werden, dem
Mitarbeiter Kontaktdaten an die Hand zu geben, an wen er
sich mit datenschutzrechtlichen Fragen wenden kann,
beispielsweise an den Datenschutzbeauftragten des Unternehmens.
Wird die Verpflichtung überprüft?
Jedes Unternehmen unterliegt als nicht-öffentliche Stelle
generell der Aufsicht des Landesdatenschutzbeauftragten in
seinem Bundesland. Dieser ist auch berechtigt, zu überprüfen,
inwieweit alle Mitarbeiter auf das Datengeheimnis verpflichtet
sind. Anders als für viele andere Pflichten enthält das Datenschutzrecht aber keine unmittelbaren Sanktionen, wenn eine
Verpflichtung der Mitarbeiter auf das Datengeheimnis unterblieben ist. Die Aufsichtsbehörde kann jedoch einen Organisationsmangel rügen und die umgehende Verpflichtung
anordnen.
Kommt es in einem Unternehmen zu einer unrechtmäßigen Datenverarbeitung durch eigene Mitarbeiter, wird
der Geschäftsführung bei einer fehlenden Verpflichtung die
Möglichkeit genommen, eine eigene Haftung unter Verweis
auf das Fehlverhalten einzelner Mitarbeiter abzuwehren.
Diese Entlastung würde nur gelingen, wenn das Unternehmen
die ordnungsgemäße Verpflichtung seiner Mitarbeiter auf das
Datengeheimnis nachweisen kann.
Oftmals wird die ordnungsgemäße Verpflichtung auch von
Vertragspartnern und Kunden eines Unternehmens eingefordert und geprüft, sofern das Unternehmen mit fremden Daten
in Berührung kommt oder diese auftragsgemäß verarbeitet.
Dies gilt insbesondere für Dienstleister, die im Rahmen einer
Auftragsdatenverarbeitung tätig werden.
www.brandi.net
Kontakt:
BRANDI Rechtsanwälte
Partnerschaft mbB
Dr. Sebastian Meyer, LL.M.
Rechtsanwalt
Datenschutzauditor (TÜV)
Adenauerplatz 1
33602 Bielefeld
Tel.: +49 (0) 521 / 96535 – 812
Fax: +49 (0) 521 / 96535 – 115
Mail: [email protected]
Web: www.brandi.net
Herunterladen
Explore flashcards